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Ansteuervbrrichtung far sicherheitskritische Komponenten and 
entsprechendes Verfahren 

Die vorliegende Erfindung betrifft eine Ansteuervorrichtung 
zum Steuern oder Regain einer sicherheitskritischen Komponen- 
te mxt exner Schalteinrichtung, die einen ersten Schalter und 
exnen zweiten, rait dem ersten in Reihe verbundenen Schalter 
zu* Schalten der sicherheitskritischem Komponente aufweist, 
exner ersten Steuerungseinrichtung zur Aufnahme eines Ein- 
gangssignals und Ausgabe eines ersten Ansteuersignals und ei- 
ner zweiten Steuerungseinrichtung zur Aufnahme des Eingangs- 
sxgnals und Ausgabe eine zweiten Ansteuersignals. DarUber 
hinaus betrifft die vorliegende Erfindung ein entsprechendes 
Verfahren zum Steuern oder Regeln einer sicherheitskritischen 
Komponente . 

Bei vielen sicherheitstechnischen Anwendungen wird eine sehr 
gerxnge Reaktionszeit zur Verarbeitung einer NOTAUS- 
Anforderung benatigt. Obwohl die heutigen modernen Sicher- 
hextsgerate in der Regel Mikrocontroller benutzen und deshalb 
interne Funktionen sehr schnell abgearbeitet werden kannen, 
mtlssen wegen Burst- und HF-St5rungen Filteralgorithmen ver- 
wendet werden, urn eine maximale Verftigbarkeit zu erzielen 
Weitere Randeffekte wie die Kompensation der Kabelkapazitat 
und dynamische EingangsprUfung ftihren letztlich zu relativ 
langen Auswertezyklen. 

Ein weiteres Problem stellt die Tatsache dar, dass in sicher- 
heitsgeraten ab der Kategorie SIL3 bezogen auf die europai- 
sche Norm IEC 615 08 immer zwei Controller aus Grunden der 
Hardwareredundanz und Fehlertoleranz eingesetzt werden mUs- 



sen. 



Seitens des Anmelders wurde dieses Problem dadurch gel6st, 
dass bei Sicherheitsgeraten zwei von der Hardware identische 
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Controller mit identischer Firmware eingesetzt werden. Um 
systematische Fehler erkennen zu konnen, wird ein „Master- 
Slave-Prinzip' angewandt. Dies bedeutet, dass jeweils einer 
der Controller ftlr kurze Zeit der Master und der andere der 
Slave ist. Die beiden Controller tauschen diesen status nach 
emer festgelegten Zeit. Einer der Controller wird tlblicher- 
wexse zum Ansteuern bestimmter Schalter beispielsweise eines 
Lastkreises einer elektrischen Maschine verwendet, wogegen 
der andere Controller zum Oberwachen der Schaltzustande die- 
ser Schalter eingesetzt wird und seinerseits andere Schalter 
von anderen Komponenten ansteuert. 

Derjenige Controller, der sich im Mastermodus befindet, liest 
samtliche Eingange ein und legt die Ausgangszustande der 
Schalter fest, mit denen er verbunden ist beziehungsweise die 
ihm zugeordnet sind. Wichtige Zustande wie Anforderungen wer- 
den mit dem Slave abgeglichen und interne Tests werden durch- 
geftihrt. 

Eine NOTAUS-Anforderung wird zunachst von dem Controller im 
Mastermodus registriert. Dabei besteht der Nachteil, dass 
dxejenigen Ausgange, die von dem Controller im Slavemodus an- 
gesteuert werden, erst dann abgeschaltet werden kennen, wenn 
d le NOTAUS-Anforderung von dem Master an den Slave ubermit- 
telt worden ist. Diejenigen Ausgange, die unmittelbar vom 
Master angesteuert werden, konnen verhaltnismafiig rasch abge- 
schaltet werden. Somit ist die Reaktionszeit zum Abschalten 
der angesteuerten Komponenten abhangig davon, welcher Cont- 
roller die Anforderung zuerst erhalt und ob der gewunschte 
Ausgang auch von diesem Controller abgeschaltet werden kann. 

Mit dem geschilderten Schaltungsaufbau konnten bislang Anfor- 
derungszeiten nicht unter 45 ms erreicht werden. Durch ent- 
sprechend schnellere Hardware liefle sich die Anforderungszeit 
noch bis auf 35 ms reduzieren. Dies ist jedoch fur kritische 
Anforderungen wie Pressensteuerungen nicht hinreichend 
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Die Aufgabe der vorliegenden Erfindung besteht somit darin 
erne Ansteuervorrichtung und ein entsprechendes Verfahren zum 
Steuern oder Regeln einer sicherheitskritischen Komponente 
mit durchschnittlich verktlrzter Reaktionszeit vorzuschlagen. 

ErfindungsgemSA wird diese Aufgabe gelSst durch eine Ansteu- 
ervorrichtung zum Steuern oder Regeln einer sicherheitskriti- 
schen Komponente mit einer Schalteinrichtung, die einen ers- 
ten Schalter und einen zweiten, mit dem ersten in Reihe ver- 
bundenen Schalter zum Schalten der sicherheitskritischen Kom- 
ponente aufweist, einer ersten Steuerungseinrichtung zur Auf- 
nahme eines Eingangssignals und Ausgabe eines ersten Ansteu- 
ersxgnals und einer zweiten Steuerungseinrichtung zur Aufnah- 
me des Eingangssignals und Ausgabe eines zweiten Ansteuersig- 
nals, wobei der erste Schalter der Schalteinrichtung von der 
ersten Steuerungseinrichtung und der zweite Schalter der 
Schalteinrichtung von der zweiten Steuereinrichtung ansteuer- 
bar sind. 

Ferner wird erf indungsgemafi bereitgestellt ein Verfahren zum 
Steuern oder Regeln einer sicherheitskritischen Komponente 
durch Bereitstellen einer Schalteinrichtung, die einen ersten 
Schalter und einen zweiten, mit dem ersten in Reihe verbunde- 
nen Schalter zum Schalten der sicherheitskritischen Komponen- 
te aufweist, Bereitstellen einer ersten Steuerungseinrich- 
tung, die mit dem Schalter verbunden i st , und einer zweiten 
Steuerungseinrichtung, die mit dem zweiten Schalter verbunden 
ist, Aufnehmen eines Eingangssignals und Ausgeben eines ers- 
ten Ansteuersignals von der ersten Steuerungseinrichtung an 
den ersten Schalter der Schalteinrichtung auf der Basis des 
Exngangssignals, wobei auf der Basis des Eingangssignals ein 
zweites Ansteuersignal von der zweiten Steuerungseinrichtung 
an den zweiten Schalter der Schalteinrichtung ausgegeben 
wird. " ' 

Der Erfindung liegt der Gedanke zugrunde, dass der Ausgang 
abgeschaltet werden soil, unabhangig davon, welcher der 
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Schalter zuerst abgesteuert wird. Dadurch, dass nun beide 
Controller beziehungsweise Steuerungseinrichtungen die Rei- 
henschaltung aus den beiden Schaltern ansteuern und somit ei- 
ne UND-Verkntipfung der Ausgange der Controller gegeben 1st 
wird der Ausgang an der Schalteinrichtung auf alle Falle mit 
der geringeren Reaktionszeit der beiden Controller abgeschal- 



Ein positiver Nebeneffekt dieses zeitversetzten Schaltens 
ist, dass ein gleichzeitiges VerschweiAen der beiden Schal- 
ter, z. B. Schutze, ausgeschlossen werden kann. Die NOTAUS- 
Funktion ist damit auch nach dem Verschweifien eines der Kon- 
takte der Schalter noch gewahrleistet . 

Das zeitversetzte Abschalten der Schalter hat weiterhin den 
Vortexl, dass ftir beide Schalter ungefahr gleiche Lebensdau- 
ern zu erwarten sind. Dies liegt daran, dass im statistischen 
Mxttel ,eder Schalter ebenso haufig im stromfreien wie im 
bestromten Zustand abgeschaltet wird. 

Vorzugsweise wird der erste und zweite Schalter in der 
Schalteinrichtung jeweils durch ein Relais oder einen SchUtz 
realisiert. Alternativ kann der erste und zweite Schalter a- 
ber auch als Halbleiterschalter ausgelegt sein oder einen Op- 
tokoppler umfassen. * 

Der erste und zweite Schalter konnen zeitversetzt zueinander 
angesteuert werden. Ferner kOnnen die erste und zweite Steue- 
rungseinrichtung nach dem Master-Slave-Prinzip arbeiten wo- 
durch sich ein definierter Zeitversatz ergibt. Speziell ent- 
steht dann der Zeitversatz durch die Zeitdauer, die der Mas- 
ter benotigt, urn den Slave von einem Ereignis in Kenntnis zu 
setzen. 

Vorteilhafterweise wird eine elektrische Maschine mit einem 
Lastkreis mit der genannten, erf indungsgemafien Ansteuervor- 
nchtung ausgestattet . Dabei kann die Ansteuervorrichtung 
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insbesondere far die Sicherheitsabschaltun, beziehungsweise 
NOTAUS-Steuerung verwendet werden. 

Die vorliegende Erfindung wird nun anhand der beigefUgten 
Zeichnungen naher erlautert, in denen zeigen: " 

FIG 1 ein Schaltungsdiagramm einer erf indungsgemaBen An- 
steuervorrichtung; und 

FIG 2 ein Zeitsignaldiagramm der Ansteuervorrichtung von 

Die nachfolgend geschilderten AusfUhrungsbeispiele stellen 
bevorzugte Ausftihrungsformen der vorliegenden Erfindung dar 
in dem Schaltungsdiagramm gemaB FIG 1 dienen zwei Schtltze SI 
und S2, die in Reihe miteinander verbunden sind, zum Schalten 
exnes nxcht dargestellten Lastkreises einer elektrischen Ma- 
chine Ober die Klemmen Kl und K2 . Zur Ansteuerung der beiden 
SchUtze SI und S2 dienen zwei Steuerungseinrichtungen bezie- 
hungsweise Controller CI und C2. Die Ausgangssignale der 
Controller CI und C2 werden von jeweiligen Ausgangseinheiten 
Yl und Y2 ln entsprechende Bewegungen der Schtltze SI und S2 
umgesetzt. Von einer Eingabeeinheit X, die beispielsweise als 
NOTAUS-Schalter realisiert sein kann, erhalten die beiden 
Controller CI und C2 ihr Eingangssignal . Dieses Eingangssig- 
nal wxrd am Eingang x von den Controllern CI und C2 durch je- 
wexlxge Taktsignale Tl und T2 abgefragt. 

FIG 2 zeigt hierzu ein Signalverlauf sdiagramm beziehungsweise 
Zustandsdiagramm der einzelnen Komponenten. Zum Zeitpunkt to 
wird der NOTAUS-Schalter am Eingang X gedrtickt. Zu diesem 
Zextpunkt liest der Controller CI den Eingang X. Nach einer 
gewissen Reaktionszeit wird die Aus gangs einhe it Yl zum Zeit- 
punkt tl abgeschaltet. Da der Controller C2 zum Zeitpunkt to 
nxcht aktiv war, muss er erst vom Controller CI tiber das DrU- 
cken des NOTAUS-Schalters informiert werden, urn die Ausgangs- 
exnhext Y2 abzuschalten. Daher betragt die Reaktionszeit ent- 
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Bei ein er konkreten Realisierung kann die e rf indungsge^aBe 

setzt warden. Typischerweise betragt die Reaktionszelt "es 
Masters auf eine NOTAUS-Anforderung bis zu» 8 »s. Die Zert 
zur Obemittiung der NOTAUS-Anforderung vom Mater IZ slave 
kann bis zu IS ms betragen. Die Abfallz»i f h I , 
in voriiegenden Beispiei .azi.ai^^ti anda^ 
schaltung gemaB den, stand der Technik, bei der eine s^iZn 
scnaitun, von Reiais iedigiich -it Hiife eines Control"^*" 
angesteuart wird, wUrde die Reaktionszeit bis zxm L + 

sohLtlg \Z ' " ™ bet " 9en - ««"^gsge m a B en Be- 

gen auch an sehr zeitkritiscbe Anwendungen errant. DurcTdie 
erfindungsgenaBe Ansteuerung der in Porm einar logischen TOD 
Verknuprung versonalteten Reiais beziehungsweise Schutze Tx 

HarH Z T varwendet warden, ohne dass Anderungen in 
Hard- Oder Frnnware rttr eine Sicherheitsabschaltung notwendig 
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PatentansprUche 



1. Ansteuervorrichtung zua, steuern oder Regeln einer sicher- 
heitskritischen Komponente mit 

- einer Schalteinrichtung, die einen ersten Schalter , S1 ) 

Schalter (S2) zum Schalten der sicherheitskritischen 
Komponente aufweist, 

- einer ersten Steuerungseinrichtung (CI) 2U r Aufnahme 
exnes Eingangssignals und Ausgabe eines ersten Ansteu- 
ersignals und 

- einer zweiten steuerungseinrichtung <C2> zur Aufnahme 
des Exngangssignals und Ausgabe eines zweiten Ansteuer- 
signals/ 

d a d u r c h g e k e n n z e i c h n e t , d a s s 

- der erste Schalter (si, der Schalteinrichtung von der 
ersten Steuerungseinrichtung (CI, und der zweite Schal- 
ter (32) der Schalteinrichtung von der zweiten Steuer- 
emnchtung (C2) ansteuerbar sind. 

2. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zwexte Schalter jeweils ein Relais oder ein Schtttz ist. 

3. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zwexte Schalter jeweils ein Halbleiterschalter ist. 

4. Ansteuervorrichtung nach Anspruch 1, wobei der erste und 
zweite Schalter jeweils einen Optokoppler umfasst. 

5. Ansteuervorrichtung nach einexn der vorhergehenden Anspru- 

f ZT" erSte SChaltSr (S1> Und der Schal- 

ter (S2) xaxt Zeitversatz zueinander ansteuerbar sind und 

dxe erste und zweite Steuerungseinrichtung nach dem Mas- 
ter/siave-Prinzip arbeiten. 
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6. 



Elektrische Maschine mit einem Lastkreis und einer An- 

der vorhergehenden Ansortl- 

che. 

7. Elektrische Maschine nach Anspruch 6 mit weiterhin einem 
Not-Aus-Schalter (X) zum Lief em des Eingangssignals . 

8. Verfahren zum Steuern oder Regeln einer sicherheitskriti- 
schen Komponente (lurch 

- Bereitstellen einer Schalteinrichtung, die einen ersten 
Schalter (SI) und einen zweiten, mit dem ersten in Rei- 
he verbundenen Schalter (S2) zum Schalten der sicher- 
heitskritischen Komponente aufweist, 

- Bereitstellen einer ersten Steuerungseinrichtung (ci) 
die mit dem Schalter (SI) verbunden ist, und einer 
zweiten Steuerungseinrichtung ( C 2) , die mit dem zweiten 
Schalter (S2) verbunden ist, 

- Aufnehmen eines Eingangssignals, 

- Ausgeben eines ersten Ansteuersignals von der ersten 
Steuerungseinrichtung (CI) an den ersten Schalter (SI) 
der Schalteinrichtung auf der Basis des Eingangssignals 
und 

- Ausgeben eines zweiten Ansteuersignals von der zweiten 
Steuerungseinrichtung <C2) an den zweiten Schalter (S2) 
der Schalteinrichtung auf der Basis des Eingangssig- 
nals. 

9. Verfahren nach Anspruch 8, wobei das erste und zweite An- 
steuersignal zeitversetzt zueinander ausgegeben werden. 

10. Verfahren nach Anspruch 9, wobei das erste und das zweite 
Ansteuersignal in einem Master/Slave-Prozess in Abhangig- 
kext von dem Eingangssignal erzeugt werden, wodurch sich 
der definierte Zeitversatz ergibt. 
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U. Verfahren nach Anspruch 8, 9 Oder 10, wobei mit der 

Schalteinrichtung ein Lastkreis einer elektrischen Ma- 
schine geschaltet wird. 

12. Verfahren nach einem der Ansprttche 8 bis 11, wobei das 
Eingangssignal von einem Not-Aus-Schalter (X) geliefert 
wird. 
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FIG 2 
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Notaus wurde gedruckt 
Controller 1 liest Eingang 
Controller 2 liest Eingang 
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Ausgang Y2 ist aus 
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